CVE-2021-44228: Apache Log4J रिमोट कोड एक्जीक्यूशन

अवलोकन

यह लेख Log4j रिमोट कोड एक्जीक्यूशन (RCE) भेद्यता से संबंधित जानकारी पर चर्चा करेगा और हमारे ग्राहकों की सुरक्षा सुनिश्चित करने के लिए Cato द्वारा उठाए गए कदमों का विवरण देगा।

यह लेख CVE-2021-44228 से संबंधित है, जिसे 10.0 (गंभीर) का मूल CVSS स्कोर सौंपा गया है

Cato वर्तमान में अपने ग्राहकों के आधार पर इस भेद्यता के प्रभाव का मूल्यांकन कर रहा है, और इस स्थिति के अनुसार इस लेख को अद्यतित किया जाएगा। 

पृष्ठभूमि और प्रभाव

जावा लॉगिंग लाइब्रेरी Apache Log4j 2 के संस्करण 2.0-beta9 से 2.14.1 में एक दोष पाया गया है। यदि सिस्टम किसी आक्रमणकारी-जांच JNDI LDAP सर्वर लुकअप के साथ एक आक्रमणकारी-नियंत्रित स्ट्रिंग मान को लॉग करता है, तो इस स्थिति में एक आक्रमणकारी दूरस्थ रूप से सर्वर पर कोड एग्जीक्यूट कर सकता है।

यह भेद्यता आक्रमणकर्ताओं को जावा अनुप्रयोगों पर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति देगी और इस प्रकार, यह वैश्विक सॉफ़्टवेयर संपत्ति में Log4j के व्यापक उपयोग के कारण एक महत्वपूर्ण जोखिम उत्पन्न करती है। 

पर्यावरण

यह समस्या केवल log4j संस्करण 2.0 और 2.14.1 के बीच प्रतीत होती है। इस दोष का लाभ उठाने के लिए आपको इसकी आवश्यकता है:

  • कोई भी प्रोटोकॉल (HTTP, TCP, आदि) के साथ एक दूरस्थ रूप से सुलभ एंडपॉइंट जो एक आक्रमणकारी को मनमाना डेटा भेजने की अनुमति देता है,
  • एंडपॉइंट में एक लॉगिंग स्टेटमेंट जो हमलावर-नियंत्रित डेटा को लॉग करता है।

JMS Appender की उपस्थिति के कारण जो log4j 1.x में JNDI का उपयोग कर सकता है, इस बात की संभावना है कि log4j संस्करण 1.x भी इस भेद्यता से प्रभावित हो सकता है। प्रभाव का अब भी सुरक्षा शोधकर्ताओं द्वारा जांच की जा रही है। 

Cato क्या कर रहा है?

Cato Networks के सुरक्षा विश्लेषक हमारे ग्राहकों को इस ख़तरे से सुरक्षित रखने की संभावित भेद्यता या एक्सपोजर की पहचान, निशानदेही और इसे कम करने के लिए लगातार काम कर रहे हैं। 

  • 9 दिसंबर 2021: सुरक्षा समुदाय को Apache Log4j सॉफ़्टवेयर में सक्रिय दोहन प्रयासों के बारे में पता चला।
  • 10 दिसंबर 2021: Cato Networks ने इस भेद्यता से जुड़े ट्रैफ़िक हस्ताक्षर को पहचाना और हमारे ग्राहक आधार की सक्रिय निगरानी शुरू कर दी।
  • 11 दिसंबर 2021: हमने सभी Cato ग्राहकों के लिए हमारे IPS के भीतर एक वैश्विक ब्लॉकिंग नियम को लागू किया है ताकि इस भेद्यता को कम किया जा सके।

इस समय, Cato Cloud इन्फ्रास्ट्रक्चर को इस भेद्यता के प्रति असुरक्षित नहीं माना जा रहा है। 

मुझे क्या करने की आवश्यकता है?

  • अगर आपने Cato IPS सक्षम किया है, तो हम इस भेद्यता के ट्रैफ़िक हस्ताक्षर को स्वचालित रूप से सक्रिय रूप से अवरुद्ध कर देंगे। Cato प्लेटफॉर्म पर कोई पैचिंग या अपडेट आवश्यक नहीं है।
  • Cato SDP क्लाइंट, Cato Sockets, Cato vSockets Apache Log4j का उपयोग नहीं करते हैं।
  • यह अनुशंसा की जाती है कि कोई भी ग्राहक जो Apache उत्पादों का उपयोग कर रहा है वह विक्रेता की समाजिक सलाह का पालन करे।

इस CVE के लिए ब्लॉक क्रियाओं का संकेत देने वाले घटनाएँ Cato प्रबंधन एप्लिकेशन के भीतर उत्पन्न की जाएंगी। उदाहरण के लिए:

mceclip0.png

आईटी परिदृश्य के भीतर यह स्थिति वर्तमान में विकसित हो रही है, और Cato Networks सक्रिय रूप से यह सुनिश्चित करने के लिए स्थिति की निगरानी और जांच कर रहा है कि हमारे ग्राहक संरक्षित रहें।

क्या यह लेख उपयोगी था?

10 में से 10 के लिए उपयोगी रहा

0 टिप्पणियां